Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS in Unternehmensorganisationen. Informationen zum Konfigurieren Microsoft Defender for Endpoint unter macOS mithilfe der Befehlszeilenschnittstelle finden Sie unter Ressourcen.
Zusammenfassung
In Unternehmensorganisationen können Microsoft Defender for Endpoint unter macOS über ein Konfigurationsprofil verwaltet werden, das mit einem von mehreren Verwaltungstools bereitgestellt wird. Einstellungen, die von Ihrem Sicherheitsbetriebsteam verwaltet werden, haben Vorrang vor einstellungen, die lokal auf dem Gerät festgelegt werden. Das Ändern der Einstellungen, die über das Konfigurationsprofil festgelegt werden, erfordert eskalierte Berechtigungen und ist für Benutzer ohne Administratorberechtigungen nicht verfügbar.
Dieser Artikel beschreibt die Struktur des Konfigurationsprofils, enthält ein empfohlenes Profil, das Sie für den Einstieg verwenden können, und enthält Anweisungen zum Bereitstellen des Profils.
Struktur des Konfigurationsprofils
Das Konfigurationsprofil ist eine PLIST-Datei , die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach (z. B. ein numerischer Wert) oder komplex sein, z. B. eine geschachtelte Liste von Einstellungen.
Achtung
Das Layout des Konfigurationsprofils hängt von der Verwaltungskonsole ab, die Sie verwenden. Die folgenden Abschnitte enthalten Beispiele für Konfigurationsprofile für JAMF und Intune.
Die oberste Ebene des Konfigurationsprofils enthält produktweite Einstellungen und Einträge für Teilbereiche von Microsoft Defender for Endpoint, die in den nächsten Abschnitten ausführlicher erläutert werden.
Einstellungen der Antiviren-Engine
Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente von Microsoft Defender for Endpoint zu verwalten.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
antivirusEngine
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Erzwingungsstufe für die Antiviren-Engine
Gibt die Erzwingungspräferenz des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:
Echtzeitschutz (real_time): Echtzeitschutz (Scannen von Dateien beim Zugriff) ist aktiviert.
On-Demand (on_demand): Dateien werden nur bei Bedarf gescannt. In diesem Fall:
Der Echtzeitschutz ist deaktiviert.
Passiv (passive): Führt die Antiviren-Engine im passiven Modus aus. In diesem Fall:
Der Echtzeitschutz ist deaktiviert.
Die bedarfsgesteuerte Überprüfung ist aktiviert.
Die automatische Bedrohungsbehebung ist deaktiviert.
Security Intelligence-Updates sind aktiviert.
Das Statusmenüsymbol ist ausgeblendet.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
enforcementLevel
Datentyp
String
Mögliche Werte
real_time (Standard)
on_demand
passiv
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.10.72 oder höher.
Aktivieren/Deaktivieren der Verhaltensüberwachung
Bestimmt, ob die Funktion zur Verhaltensüberwachung und -blockierung auf dem Gerät aktiviert ist oder nicht.
Hinweis
Dieses Feature gilt nur, wenn Real-Time Schutz aktiviert ist.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
behaviorMonitoring
Datentyp
String
Mögliche Werte
deaktiviert
aktiviert (Standard)
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.24042.0002 oder höher.
Konfigurieren der Dateihashberechnungsfunktion
Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden, um eine bessere Übereinstimmung mit den Indikatorregeln zu ermöglichen. Unter macOS werden nur die Skript- und Mach-O-Dateien (32 und 64 Bit) für diese Hashberechnung berücksichtigt (ab Modulversion 1.1.20000.2 oder höher). Beachten Sie, dass sich die Aktivierung dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter Erstellen von Indikatoren für Dateien.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
enableFileHashComputation
Datentyp
Boolesch
Mögliche Werte
false (Standard)
true
Kommentare
Verfügbar in Defender für Endpunkt Version 101.86.81 oder höher.
Ausführen einer Überprüfung nach dem Aktualisieren von Definitionen
Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Security Intelligence-Updates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
scanAfterDefinitionUpdate
Datentyp
Boolesch
Mögliche Werte
true (Standard)
false
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.
Scannen von Archiven (nur bedarfsgesteuerte Antivirenscans)
Gibt an, ob Archive bei bedarfsgesteuerten Antivirenscans überprüft werden sollen.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
scanArchives
Datentyp
Boolesch
Mögliche Werte
true (Standard)
false
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.
Grad der Parallelität bei bedarfsgesteuerten Scans
Gibt den Grad der Parallelität für bedarfsgesteuerte Scans an. Dies entspricht der Anzahl der Threads, die zum Durchführen der Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung sowie die Dauer der bedarfsgesteuerten Überprüfung aus.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
maximumOnDemandScanThreads
Datentyp
Integer
Mögliche Werte
2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64.
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher.
Ausschlusszusammenführungsrichtlinie
Geben Sie die Mergerichtlinie für Ausschlüsse an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur administratordefinierte Ausschlüsse (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
exclusionsMergePolicy
Datentyp
String
Mögliche Werte
Merge (Standard)
admin_only
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.
Scanausschlüsse
Geben Sie Entitäten an, die von der Überprüfung ausgeschlossen sind. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden.
(Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Ausschlüsse
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Art des Ausschlusses
Geben Sie den Inhalt an, der von der Überprüfung ausgeschlossen wird, nach Typ.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
$type
Datentyp
String
Mögliche Werte
excludedPath
excludedFileExtension
excludedFileName
Pfad zu ausgeschlossenen Inhalten
Geben Sie inhalte an, die von der Überprüfung ausgeschlossen werden, indem Sie den vollständigen Dateipfad angeben.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
path
Datentyp
String
Mögliche Werte
Gültige Pfade
Kommentare
Gilt nur, wenn $typeexcludedPath ist
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Von Defender für Endpunkt für Mac unterstützten Ausschlusstypen aufgeführt.
Ausschluss
Definition
Beispiele
Dateierweiterung
Alle Dateien mit der Erweiterung, überall auf dem Gerät
.test
File
Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird
/var/log/test.log
/var/log/*.log
/var/log/install.?.log
Ordner
Alle Dateien im angegebenen Ordner (rekursiv)
/var/log/
/var/*/
Prozess
Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden
/bin/cat
cat
c?t
Wichtig
Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:
Platzhalter
Beschreibung
Beispiel
Übereinstimmungen
Stimmt nicht überein
*
Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines (beachten Sie, dass bei Verwendung dieses Platzhalters innerhalb eines Pfads nur ein Ordner ersetzt wird)
/var/\*/\*.log
/var/log/system.log
/var/log/nested/system.log
?
Entspricht jedem einzelnen Zeichen
file?.log
file1.log
file2.log
file123.log
Pfadtyp (Datei/Verzeichnis)
Geben Sie an, ob die Path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
isDirectory
Datentyp
Boolesch
Mögliche Werte
false (Standard)
true
Kommentare
Gilt nur, wenn $typeexcludedPath ist
Dateierweiterung von der Überprüfung ausgeschlossen
Geben Sie Inhalte an, die von der Überprüfung durch die Dateierweiterung ausgeschlossen werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Erweiterung
Datentyp
String
Mögliche Werte
Gültige Dateierweiterungen
Kommentare
Gilt nur, wenn $typeausgeschlossen IstFileExtension
Von der Überprüfung ausgeschlossener Prozess
Geben Sie einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
name
Datentyp
String
Mögliche Werte
beliebige Zeichenfolge
Kommentare
Gilt nur, wenn $typeexcludedFileName ist
Zulässige Bedrohungen
Geben Sie Bedrohungen anhand des Namens an, die nicht von Defender für Endpunkt auf dem Mac blockiert werden. Diese Bedrohungen dürfen ausgeführt werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
allowedThreats
Datentyp
Array aus Zeichenfolgen
Unzulässige Bedrohungsaktionen
Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
disallowedThreatActions
Datentyp
Array aus Zeichenfolgen
Mögliche Werte
allow (verhindert, dass Benutzer Bedrohungen zulassen)
wiederherstellen (schränkt Benutzer an der Wiederherstellung von Bedrohungen aus der Quarantäne ein)
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.
Einstellungen für Bedrohungstypen
Geben Sie an, wie bestimmte Bedrohungstypen von Microsoft Defender for Endpoint unter macOS behandelt werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
threatTypeSettings
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Bedrohungstyp
Geben Sie Bedrohungstypen an.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Schlüssel
Datentyp
String
Mögliche Werte
potentially_unwanted_application
archive_bomb
Zu ergreifende Maßnahme
Geben Sie an, welche Aktion ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs erkannt wird. Wählen Sie aus den folgenden Optionen aus:
Überwachung: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag zur Bedrohung wird protokolliert.
Blockieren: Ihr Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden über die Benutzeroberfläche und die Sicherheitskonsole benachrichtigt.
Aus: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Wert
Datentyp
String
Mögliche Werte
audit (Standard)
Block
Aus
Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen
Geben Sie die Mergerichtlinie für Bedrohungstypeinstellungen an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für verschiedene Bedrohungstypen zu definieren.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
threatTypeSettingsMergePolicy
Datentyp
String
Mögliche Werte
Merge (Standard)
admin_only
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher.
Aufbewahrung des Verlaufs der Antivirenüberprüfung (in Tagen)
Geben Sie die Anzahl der Tage an, für die ergebnisse im Scanverlauf auf dem Gerät aufbewahrt werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte unter Quarantäne gestellte Dateien, die ebenfalls vom Datenträger entfernt werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
scanResultsRetentionDays
Datentyp
String
Mögliche Werte
90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen.
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher.
Maximale Anzahl von Elementen im Verlauf der Antivirenüberprüfung
Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten bedarfsgesteuerten Überprüfungen sowie alle Antivirenerkennungen.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
scanHistoryMaximumItems
Datentyp
String
Mögliche Werte
10000 (Standard). Zulässige Werte reichen von 5000 bis 15.000 Elementen.
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher.
Über die Cloud bereitgestellte Schutzeinstellungen
Konfigurieren Sie die cloudgesteuerten Schutzfunktionen von Microsoft Defender for Endpoint unter macOS.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
cloudService
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Aktivieren/Deaktivieren des von der Cloud bereitgestellten Schutzes
Geben Sie an, ob der in der Cloud bereitgestellte Schutz für das Gerät aktiviert werden soll. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
aktiviert
Datentyp
Boolesch
Mögliche Werte
true (Standard)
false
Sammlungsebene von Diagnosedaten
Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Ebene der Diagnose, die von Microsoft Defender for Endpoint an Microsoft gesendet werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
diagnosticLevel
Datentyp
String
Mögliche Werte
optional (Standard)
erforderlich
Konfigurieren der Cloudblockebene
Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt beim Blockieren und Scannen verdächtiger Dateien ist. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und überprüft werden sollen. Andernfalls ist es weniger aggressiv und daher blockieren und scannen mit weniger Häufigkeit. Es gibt fünf Werte zum Festlegen der Cloudblockebene:
Normal (normal): Die Standardblockierungsstufe.
Moderate (moderate): Gibt nur für Erkennungen mit hoher Zuverlässigkeit eine Bewertung aus.
Hoch (high): Blockiert aggressiv unbekannte Dateien, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, dass nicht schädliche Dateien blockiert werden).
High Plus (high_plus): Sperrt unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann sich auf die Leistung des Clientgeräts auswirken).
Zero Tolerance (zero_tolerance): Blockiert alle unbekannten Programme.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
cloudBlockLevel
Datentyp
String
Mögliche Werte
normal (Standard)
mäßig
Hoch
high_plus
zero_tolerance
Kommentare
Verfügbar in Defender für Endpunkt Version 101.56.62 oder höher.
Bestimmt, ob verdächtige Stichproben (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:
Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert für diese Einstellung.
Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.
Bestimmt, ob Security Intelligence-Updates automatisch installiert werden:
Abschnitt
Wert
Key
automaticDefinitionUpdateEnabled
Datentyp
Boolesch
Mögliche Werte
true (Standard)
false
Dauer für fällige Security Intelligence-Updates (in Tagen)
Bestimmt die Anzahl der Tage, nach denen die zuletzt installierten Security Intelligence-Updates als veraltet betrachtet werden.
Abschnitt
Wert
Key
definitionUpdateDue
Datentyp
Integer
Mögliche Werte
7 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 30.
Einstellungen für die Benutzeroberfläche
Verwalten Sie die Einstellungen für die Benutzeroberfläche von Microsoft Defender for Endpoint unter macOS.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
userInterface
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Menüsymbol "status ein-/ausblenden"
Geben Sie an, ob das status Menüsymbol in der oberen rechten Ecke des Bildschirms ein- oder ausgeblendet werden soll.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
hideStatusMenuIcon
Datentyp
Boolesch
Mögliche Werte
false (Standard)
true
Option zum Senden von Feedback ein-/ausblenden
Geben Sie an, ob Benutzer Feedback an Microsoft senden können, indem Sie zu Help>Send Feedbackwechseln.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
userInitiatedFeedback
Datentyp
String
Mögliche Werte
aktiviert (Standard)
deaktiviert
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.19.61 oder höher.
Steuern der Anmeldung bei der Consumerversion von Microsoft Defender
Geben Sie an, ob sich Benutzer bei der Consumerversion von Microsoft Defender anmelden können.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
consumerExperience
Datentyp
String
Mögliche Werte
aktiviert (Standard)
deaktiviert
Kommentare
Verfügbar in Microsoft Defender for Endpoint Version 101.60.18 oder höher.
Einstellungen für Endpunkterkennung und -antwort
Verwalten Sie die Einstellungen der EDR-Komponente (Endpoint Detection and Response) von Microsoft Defender for Endpoint unter macOS.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
edr
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Gerätetags
Geben Sie einen Tagnamen und dessen Wert an.
Das GROUP-Tag markiert das Gerät mit dem angegebenen Wert. Das Tag wird im Portal unter der Geräteseite angezeigt und kann zum Filtern und Gruppieren von Geräten verwendet werden.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
tags
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Tagtyp
Gibt den Tagtyp an
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Schlüssel
Datentyp
String
Mögliche Werte
GROUP
Wert des Tags
Gibt den Wert des Tags an.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Wert
Datentyp
String
Mögliche Werte
beliebige Zeichenfolge
Wichtig
Es kann nur ein Wert pro Tagtyp festgelegt werden.
Der Typ der Tags ist eindeutig und sollte nicht im gleichen Konfigurationsprofil wiederholt werden.
Gruppenbezeichner
EDR-Gruppenbezeichner
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
groupIds
Datentyp
String
Kommentare
Gruppenbezeichner
Manipulationsschutz
Verwalten Sie die Einstellungen der Manipulationsschutzkomponente von Microsoft Defender for Endpoint unter macOS.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
tamperProtection
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Erzwingungsstufe
Wenn der Manipulationsschutz aktiviert ist und sich im strict-Modus befindet
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
enforcementLevel
Datentyp
String
Kommentare
Einer von "disabled", "audit" oder "block"
Mögliche Werte:
deaktiviert: Manipulationsschutz ist deaktiviert, keine Verhinderung von Angriffen oder Meldungen an die Cloud
audit: Manipulationsschutz meldet Manipulationsversuche nur an die Cloud, blockiert sie jedoch nicht.
block: Manipulationsschutz blockiert und meldet Angriffe an die Cloud
Ausschlüsse
Definiert Prozesse, die die Änderung des Microsoft Defender-Medienobjekts zulassen, ohne Manipulationen in Betracht zu ziehen.
Entweder path, teamId oder signingId oder ihre Kombination muss angegeben werden.
Args können zusätzlich bereitgestellt werden, um den zulässigen Prozess genauer anzugeben.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
Ausschlüsse
Datentyp
Wörterbuch (geschachtelte Einstellung)
Kommentare
Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Pfad
Der genaue Pfad der ausführbaren Prozessdatei.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
path
Datentyp
String
Kommentare
Im Fall eines Shellskripts ist dies der genaue Pfad zur Interpreterbinärdatei, z. B. /bin/zsh. Es sind keine Wildcards zulässig.
Team-ID
Apples "Team-ID" des Anbieters.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
teamId
Datentyp
String
Kommentare
Beispielsweise UBF8T346G9 für Microsoft
Signatur-ID
Apples "Signatur-ID" des Pakets.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
signingId
Datentyp
String
Kommentare
Beispiel com.apple.ruby : für Ruby-Interpreter
Prozessargumente
Wird in Kombination mit anderen Parametern verwendet, um den Prozess zu identifizieren.
Abschnitt
Wert
Domäne
com.microsoft.wdav
Schlüssel
signingId
Datentyp
Array aus Zeichenfolgen
Kommentare
Falls angegeben, muss das Prozessargument genau mit diesen Argumenten übereinstimmen, wobei die Groß-/Kleinschreibung beachtet wird.
Empfohlenes Konfigurationsprofil
Für den Einstieg empfehlen wir die folgende Konfiguration für Ihr Unternehmen, um alle Schutzfeatures zu nutzen, die Microsoft Defender for Endpoint bietet.
Das folgende Konfigurationsprofil (oder im Fall von JAMF eine Eigenschaftenliste, die in das Konfigurationsprofil für benutzerdefinierte Einstellungen hochgeladen werden könnte):
Aktivieren des Echtzeitschutzes (Real-Time Protection, RTP)
Geben Sie an, wie die folgenden Bedrohungstypen behandelt werden:
Potenziell unerwünschte Anwendungen (PUA) werden blockiert
Archiv Bomben (Dateien mit hoher Komprimierungsrate) werden überwacht, um Protokolle Microsoft Defender for Endpoint
Eigenschaftenliste für das empfohlene JAMF-Konfigurationsprofil
XML
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plistversion="1.0"><dict><key>antivirusEngine</key><dict><key>enforcementLevel</key><string>real_time</string><key>threatTypeSettings</key><array><dict><key>key</key><string>potentially_unwanted_application</string><key>value</key><string>block</string></dict><dict><key>key</key><string>archive_bomb</string><key>value</key><string>audit</string></dict></array></dict><key>cloudService</key><dict><key>enabled</key><true/><key>automaticSampleSubmission</key><true/><key>automaticDefinitionUpdateEnabled</key><true/></dict><key>tamperProtection</key><dict><key>enforcementLevel</key><string>block</string></dict></dict></plist>
Intune empfohlenes Profil
XML
<?xml version="1.0" encoding="utf-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plistversion="1"><dict><key>PayloadUUID</key><string>C4E6A782-0C8D-44AB-A025-EB893987A295</string><key>PayloadType</key><string>Configuration</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadIdentifier</key><string>C4E6A782-0C8D-44AB-A025-EB893987A295</string><key>PayloadDisplayName</key><string>Microsoft Defender for Endpoint settings</string><key>PayloadDescription</key><string>Microsoft Defender for Endpoint configuration settings</string><key>PayloadVersion</key><integer>1</integer><key>PayloadEnabled</key><true/><key>PayloadRemovalDisallowed</key><true/><key>PayloadScope</key><string>System</string><key>PayloadContent</key><array><dict><key>PayloadUUID</key><string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string><key>PayloadType</key><string>com.microsoft.wdav</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadIdentifier</key><string><key>PayloadDisplayName</key><string>Microsoft Defender for Endpoint configuration settings</string><key>PayloadDescription</key><string/><key>PayloadVersion</key><integer>1</integer><key>PayloadEnabled</key><true/><key>antivirusEngine</key><dict><key>enforcementLevel</key><string>real_time</string><key>threatTypeSettings</key><array><dict><key>key</key><string>potentially_unwanted_application</string><key>value</key><string>block</string></dict><dict><key>key</key><string>archive_bomb</string><key>value</key><string>audit</string></dict></array></dict><key>cloudService</key><dict><key>enabled</key><true/><key>automaticSampleSubmission</key><true/><key>automaticDefinitionUpdateEnabled</key><true/><key>definitionUpdateDue</key><integer>7</integer></dict><key>tamperProtection</key><dict><key>enforcementLevel</key><string>block</string></dict></dict></array></dict></plist>
Beispiel für ein vollständiges Konfigurationsprofil
Die folgenden Vorlagen enthalten Einträge für alle in diesem Dokument beschriebenen Einstellungen und können für erweiterte Szenarien verwendet werden, in denen Sie mehr Kontrolle über Microsoft Defender for Endpoint unter macOS haben möchten.
Eigenschaftenliste für das vollständige JAMF-Konfigurationsprofil
XML
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plistversion="1.0"><dict><key>antivirusEngine</key><dict><key>enforcementLevel</key><string>real_time</string><key>scanAfterDefinitionUpdate</key><true/><key>scanArchives</key><true/><key>maximumOnDemandScanThreads</key><integer>2</integer><key>exclusions</key><array><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><false/><key>path</key><string>/var/log/system.log</string></dict><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><true/><key>path</key><string>/home</string></dict><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><true/><key>path</key><string>/Users/*/git</string></dict><dict><key>$type</key><string>excludedFileExtension</string><key>extension</key><string>pdf</string></dict><dict><key>$type</key><string>excludedFileName</string><key>name</key><string>cat</string></dict></array><key>exclusionsMergePolicy</key><string>merge</string><key>allowedThreats</key><array><string>EICAR-Test-File (not a virus)</string></array><key>disallowedThreatActions</key><array><string>allow</string><string>restore</string></array><key>threatTypeSettings</key><array><dict><key>key</key><string>potentially_unwanted_application</string><key>value</key><string>block</string></dict><dict><key>key</key><string>archive_bomb</string><key>value</key><string>audit</string></dict></array><key>threatTypeSettingsMergePolicy</key><string>merge</string></dict><key>cloudService</key><dict><key>enabled</key><true/><key>diagnosticLevel</key><string>optional</string><key>automaticSampleSubmission</key><true/><key>automaticDefinitionUpdateEnabled</key><true/><key>cloudBlockLevel</key><string>normal</string><key>definitionUpdateDue</key><integer>7</integer></dict><key>edr</key><dict><key>tags</key><array><dict><key>key</key><string>GROUP</string><key>value</key><string>ExampleTag</string></dict></array></dict><key>tamperProtection</key><dict><key>enforcementLevel</key><string>block</string><key>exclusions</key><array><dict><key>path</key><string>/bin/zsh</string><key>teamId</key><string/><key>signingId</key><string>com.apple.zsh</string><key>args</key><array><string>/usr/local/bin/test.sh</string></array></dict><dict><key>path</key><string>/usr/local/jamf/bin/jamf</string><key>teamId</key><string>483DWKW443</string><key>signingId</key><string>com.jamfsoftware.jamf</string></dict></array></dict><key>userInterface</key><dict><key>hideStatusMenuIcon</key><false/><key>userInitiatedFeedback</key><string>enabled</string></dict></dict></plist>
Intune vollständiges Profil
XML
<?xml version="1.0" encoding="utf-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plistversion="1"><dict><key>PayloadUUID</key><string>C4E6A782-0C8D-44AB-A025-EB893987A295</string><key>PayloadType</key><string>Configuration</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadIdentifier</key><string>C4E6A782-0C8D-44AB-A025-EB893987A295</string><key>PayloadDisplayName</key><string>Microsoft Defender for Endpoint settings</string><key>PayloadDescription</key><string>Microsoft Defender for Endpoint configuration settings</string><key>PayloadVersion</key><integer>1</integer><key>PayloadEnabled</key><true/><key>PayloadRemovalDisallowed</key><true/><key>PayloadScope</key><string>System</string><key>PayloadContent</key><array><dict><key>PayloadUUID</key><string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string><key>PayloadType</key><string>com.microsoft.wdav</string><key>PayloadOrganization</key><string>Microsoft</string><key>PayloadIdentifier</key><string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string><key>PayloadDisplayName</key><string>Microsoft Defender for Endpoint configuration settings</string><key>PayloadDescription</key><string/><key>PayloadVersion</key><integer>1</integer><key>PayloadEnabled</key><true/><key>antivirusEngine</key><dict><key>enforcementLevel</key><string>real_time</string><key>scanAfterDefinitionUpdate</key><true/><key>scanArchives</key><true/><key>maximumOnDemandScanThreads</key><integer>1</integer><key>exclusions</key><array><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><false/><key>path</key><string>/var/log/system.log</string></dict><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><true/><key>path</key><string>/home</string></dict><dict><key>$type</key><string>excludedPath</string><key>isDirectory</key><true/><key>path</key><string>/Users/*/git</string></dict><dict><key>$type</key><string>excludedFileExtension</string><key>extension</key><string>pdf</string></dict><dict><key>$type</key><string>excludedFileName</string><key>name</key><string>cat</string></dict></array><key>exclusionsMergePolicy</key><string>merge</string><key>allowedThreats</key><array><string>EICAR-Test-File (not a virus)</string></array><key>disallowedThreatActions</key><array><string>allow</string><string>restore</string></array><key>threatTypeSettings</key><array><dict><key>key</key><string>potentially_unwanted_application</string><key>value</key><string>block</string></dict><dict><key>key</key><string>archive_bomb</string><key>value</key><string>audit</string></dict></array><key>threatTypeSettingsMergePolicy</key><string>merge</string></dict><key>cloudService</key><dict><key>enabled</key><true/><key>diagnosticLevel</key><string>optional</string><key>automaticSampleSubmission</key><true/><key>automaticDefinitionUpdateEnabled</key><true/><key>cloudBlockLevel</key><string>normal</string><key>definitionUpdateDue</key><integer>7</integer></dict><key>edr</key><dict><key>tags</key><array><dict><key>key</key><string>GROUP</string><key>value</key><string>ExampleTag</string></dict></array></dict><key>tamperProtection</key><dict><key>enforcementLevel</key><string>block</string><key>exclusions</key><array><dict><key>path</key><string>/bin/zsh</string><key>teamId</key><string/><key>signingId</key><string>com.apple.zsh</string><key>args</key><array><string>/usr/local/bin/test.sh</string></array></dict><dict><key>path</key><string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string><key>teamId</key><string>UBF8T346G9</string><key>signingId</key><string>IntuneMdmDaemon</string></dict></array></dict><key>userInterface</key><dict><key>hideStatusMenuIcon</key><false/><key>userInitiatedFeedback</key><string>enabled</string></dict></dict></array></dict></plist>
Überprüfung der Eigenschaftenliste
Die Eigenschaftenliste muss eine gültige PLIST-Datei sein. Dies kann überprüft werden, indem Sie Folgendes ausführen:
Bash
plutil -lint com.microsoft.wdav.plist
Konsole
com.microsoft.wdav.plist: OK
Wenn die Datei wohlgeformt ist, gibt der obige Befehl OK den Exitcode aus und gibt den Exitcode zurück 0. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt den Exitcode zurück 1.
Bereitstellung von Konfigurationsprofilen
Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über die Verwaltungskonsole bereitstellen, die Ihr Unternehmen verwendet. Die folgenden Abschnitte enthalten Anweisungen zum Bereitstellen dieses Profils mithilfe von JAMF und Intune.
JAMF-Bereitstellung
Öffnen Sie in der JAMF-Konsole Computer>Konfigurationsprofile, navigieren Sie zu dem Konfigurationsprofil, das Sie verwenden möchten, und wählen Sie dann Benutzerdefinierte Einstellungen aus. Erstellen Sie einen Eintrag mit com.microsoft.wdav als Einstellungsdomäne, und laden Sie die zuvor erstellte PLIST hoch.
Achtung
Sie müssen die richtige Einstellungsdomäne (com.microsoft.wdav) eingeben. Andernfalls werden die Einstellungen von Microsoft Defender for Endpoint nicht erkannt.
Intune Bereitstellung
Öffnen SieGerätekonfigurationsprofile>. Wählen Sie Profil erstellen.
Wählen Sie einen Namen für das Profil aus. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.
Speichern Sie die zuvor erstellte PLIST als com.microsoft.wdav.xml.
Geben Sie com.microsoft.wdav als Namen des benutzerdefinierten Konfigurationsprofils ein.
Öffnen Sie das Konfigurationsprofil, und laden Sie die com.microsoft.wdav.xml Datei hoch. (Diese Datei wurde in Schritt 3 erstellt.)
Wählen Sie OK aus.
Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte zuweisen aus.
Achtung
Sie müssen den richtigen Namen des benutzerdefinierten Konfigurationsprofils eingeben. Andernfalls werden diese Einstellungen von Microsoft Defender for Endpoint nicht erkannt.
In diesem Lernpfad wird erläutert, wie Sie die Microsoft 365 Threat Intelligence-Features verwalten, die Organisationen Erkenntnisse und Schutz vor internen und externen Cyberangriffen bieten, die ihre Mandanten bedrohen. MS-102
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.